Let's Encrypt voor een Synology-NAS
Let's Encrypt voor Synology-NAS
Als je veilig met je NAS wilt communiceren zonder al die waarschuwingen van een browser, ligt het gebruik van een Let's-Encrypt-certificaat voor de hand. Bij de NASsystemen van Synology kan dat met een paar muisklikken omdat er in de firmware al een Let's-Encrypt-client ingebouwd is.
Veel NAS-systemen bieden diensten zoals remote configuratie of toegang tot de bestanden via een browser – en dat kan ook van buitenaf via internet. Dat moet dan – als je het al wilt – alleen via HTTPS gebeuren. Tot nu toe leidde dat meestal tot de beroemde certificaatfoutmeldingen in de browsers omdat de gebruikte TLS-certificaten in de regel niet door een vertrouwde CA ondertekend zijn. Met Let's Encrypt houdt niets je echter tegen om de apparaten zelfstandig een door browsers erkend certificaat op te laten halen. Dat is gratis, vergt amper rekenkracht en is daardoor ook door embedded systemen makkelijk te realiseren. Bij QNAP en Synology is in de firmware al een Let's-Encrypt-client geïntegreerd. Om te toegang tot een Synology-NAS met firmware vanaf DSM 6 te beveiliging met een Let's-Encrypt-certificaat, ga je met de browser naar de webinterface van het apparaat (bijvoorbeeld http://<NASnaam>:5000). Log in met je admin-account en open het Configuratiescherm. Als dat met de Basismodus werkt, ga je rechtsboven over naar de 'Geavanceerde modus'. Klik dan op het pictogram Beveiliging en vervolgens op het tabblad Certificaat op de knop Toevoegen. De bovenste optie 'Een nieuw certificaat toevoegen' is dan waarschijnlijk geselecteerd, dus kun je meteen door met Volgende. Geef een goede beschrijving (bijvoorbeeld 'Let's Encrypt'), selecteer eronder 'Krijg een certificaat van Let's Encrypt' en klik weer op Volgende. Bij de Domeinnaam typ je vervolgens de domeinnaam in waarvoor het certificaat moet gaan gelden.
Port-forwarding
Het is op dat moment belangrijk dat je Synology-NAS met die domeinnaam op poort 80 bereikbaar is via internet, zodat de Let's-Encrypt-client kan voldoen aan de challenge (zie pagina 110). Dat betekent dat je in je router tijdelijk een portforwarding van poort 80 extern naar port 80 op de NAS moet instellen. En als je dan toch bezig bent, stel dan meteen ook de poorten in voor de diensten die je op je NAS naar buiten toe ter beschikking wilt stellen. Bij E-mail geef je een e-mailadres op dat bij Let's Encrypt opgeslagen zal worden als behorende bij dat domein. Bij 'Onderwerp alternatieve naam' (een ietwat letterlijke vertaling van 'Subject Alternative Name') kun je meer domeinen opgeven waar het het certificaat voor moet gelden (bijvoorbeeld subdomeinen voor diensten als de mailserver). Na een klik op Toepassen wordt het LE-certificaat vervolgens aangemaakt en gecertificeerd.
Daarna kun je het nieuwe certificaat in het Configuratiescherm bij Beveiliging op het tabblad Certificaat configureren. Als je op de knop Configureren klikt, kun je aangeven voor welke doeleinden de NAS het certificaat moet gebruiken. Bij het item Systeemstandaard kun je het bijvoorbeeld gebruiken voor de configuratie-interface van de NAS, die standaard op poort 5001 wacht op versleutelde verbindingen (https://<NAS-naam>:5001). Het is zinvol om het LE-certificaat tot standaard te verklaren en het voorgeïnstalleerde Synology. com-certificaat, dat door de browser als niet veilig wordt bestempeld, buitenspel te zetten. Selecteer het LE-certificaar en klik op Bewerken. Vervolgens zet je een vinkje voor 'Instellen als standaardcertificaat' en klik je op OK.
Een Synology-NAS kan niet alleen eigen diensten beveiligen met een LE-certificaat, maar als zogeheten reverse-proxy als prettig bijeffect ook de verbindingen van andere apparaten. De NAS werkt dan als HTTP(S)-proxy die het verkeer van andere servers met TLS versleuteld doorgeeft aan de client. Die functie zit bij het Configuratiescherm bij Toepassingsportaal op het tabblad 'Reverse Proxy'. (nkr)